Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSとオンプレミスをセキュアにつなぐ勘所
Search
まちや
March 16, 2026
530
5
Share
AWSとオンプレミスをセキュアにつなぐ勘所
AWSと自己管理外のオンプレのネットワークとの接続観点について
Site-to-Site VPNに絞って解説しております
まちや
March 16, 2026
Featured
See All Featured
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
53k
Thoughts on Productivity
jonyablonski
76
5.1k
How GitHub (no longer) Works
holman
316
150k
How to make the Groovebox
asonas
2
2.1k
Navigating Weather and Climate Data
rabernat
0
160
For a Future-Friendly Web
brad_frost
183
10k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.2k
Reality Check: Gamification 10 Years Later
codingconduct
0
2.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.8k
Mind Mapping
helmedeiros
PRO
1
140
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
95
Transcript
AWSとオンプレミスを セキュアに繋ぐ勘所 まちや
自己紹介 まちや (町屋 真隆) • 社会人歴:もうすぐ5年目 • 好きな技術:ネットワーク!! • 好きなAWSサービス:Amazon
VPC • Xアカウント:まちや @MasatakaMachiya
今日話すこと ・Site-to-Site VPNを使ってAWSと自社管理外(ユーザ)のオン プレミスを接続するときに考慮するポイント 今日話さないこと ・Direct Connectのお話(本当は話したい)
AWSとオンプレミスの接続パターン インターネット インターネット VPN 専用線接続
AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect
AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect
インターネットVPNを作るってどういうこと? 拠点A 拠点B
インターネットVPNを作るってどういうこと? 拠点A 拠点B 拠点間の代表のルータを繋ぐこと
インターネットVPNを作るってどういうこと? AWS 拠点 VGW CGW Router CGW device
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討
1.VPCのCIDRを決める AWS 拠点 VGW CGW
1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16)
1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16) 拠点間で
IPアドレスが被って はいけない!
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスはどこが空いてますか?
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスAとCは使っちゃっている からクラスBがいいかな~
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 クラスBなら 172.16.0.0/16でどうすか?
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 いいですよ~!◎
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 172.16.0.0/16 パブリックサブネット 172.16.1.0/24
プライベートサブネット 172.16.2.0/24
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討
2.Site-to-Site VPNと対抗ルータの VPN仕様を合わせる AWS 拠点 VGW
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対向のルータの機種 教えてください!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 例)YamahaのRTX◦◦です!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対応できますね! VPN仕様はこれでお願いします!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2
Site-to-Site VPNの仕様 仕様 種類 BGP 使用する/しない 暗号化アルゴリズム AES128,AES256, AES128,AES128-GCM-16, AES256-GCM-16
整合性(ハッシュ) アルゴリズム SHA1,SHA2-256, SHA2-384,SHA2-512 DH(Diffie-Hellman)グループ 2,14,15,16,17,18,19,20,21 ,22,23,24 IKEバージョン IKEv1,IKEv2
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータの通信形式 3.冗長構成の検討
3.冗長構成の検討 トンネル1 トンネル2 AWS Site-to-Site VPN 単一および複数の VPN 接続の例 -
AWS Site-to-Site VPN
3.冗長構成の検討 フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続 - AWS Site-to-Site VPN
エンプラ企業は通信会社のNWサービス使っている • NTT • KDDI • ソフトバンク とかとか 詳しくは「◦◦社 VPNサービス」で検索
3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか?
3.冗長構成の検討 AWS 拠点 VGW 例)NTTの回線1個のみです!
ルータ1台構成 (IPSecトンネルは冗長化) トンネル1 トンネル2
3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか?
3.冗長構成の検討 AWS 拠点 VGW 回線はNTTとKDDIの 2回線で冗長化しているよ!
WAN回線の冗長化構成
WAN回線の冗長化構成 VGWは内部で 冗長化済み
まとめ 1.VPCのCIDRを決める ⇒オンプレのCIDRを聞きましょう! 2.Site-to-Site VPNの対抗のVPN仕様を合わせる ⇒拠点側のルータを聞いて調べよう! 3.冗長構成の検討 ⇒回線が複数あるか聞こう!
madoxten
jonyablonski
holman
asonas
rabernat
brad_frost
sergeychernyshev
ivargrimstad
codingconduct
eileencodes
helmedeiros
stuffmc
